Methodisch zum passenden IT-Sicherheitsniveau

Drei Schritte für mehr Cybersecurity

Mit der passenden Methode können Unternehmen ihre Infrastruktur Schritt für Schritt vor Cyberangriffen schützen – selbst wenn zuvor einiges liegen blieb. Das ist notwendig, denn die Vernetzung von OT und IT sowie das IIoT sind reale Anforderungen und die Systeme werden sich entwickeln. IT/OT-Sicherheit ist grundlegend, digitale Strategien zu sichern und digitalgestützte Geschäftsmodelle zukunftssicher auszurichten.

Bild: ©DC Studio/stock.adobe.com
Bild: ©DC Studio/stock.adobe.com

Für viele gilt die Vernetzung per Industrial Internet of Things (IIoT) als fundamentaler Teil der digitalen Transformation der Industrie. Diese bietet Chancen, wenn IT als möglicher Geschäftsvorteil betrachtet wird. Es geht darum, nicht nur bestehende Prozesse zu optimieren, sondern auch neue, datengetriebene Geschäftsmodelle zu eröffnen. „Derzeit bewerten rund 46 Prozent aller befragten Unternehmen das Internet der Dinge mit einer hohen oder sehr hohen Relevanz“, ermittelte das Beratungsunternehmen Techconsult kürzlich gemeinsam mit Secunet in einer Studie. „Besonders in Unternehmen aus den Bereichen Maschinenbau sowie Logistik nehmen IoT-Projekte einen wichtigen Platz ein. Bereits heute sagen mehr als die Hälfte der Maschinenbauer und Logistikunternehmen, dass solche Projekte eine hohe bis sehr hohe Relevanz besitzen – Tendenz steigend.“

Innovation vs. Datenschutz

Dennoch ist das IIoT längst noch nicht so verbreitet, wie es sich digitale Pioniere wünschen. Warum ist das so? Der Grund ist eindeutig: Deutschland ist nicht nur das Land, in dem der Begriff Industrie 4.0 erfunden wurde (bereits bei der Hannover Messe 2011 wurde er diskutiert). Deutschland ist auch ein Land mit starken Traditionen beim Thema Datenschutz. Die größte Hürde bei der Umsetzung von IoT-Projekten sind laut Techconsult dann auch Datenschutzbedenken. Die verhindern 43 Prozent der befragten Unternehmen zufolge den breitflächigen Einsatz. So erfassen vernetzte Geräte eine Vielzahl von teilweise sensiblen oder personenbezogenen Daten. Beispielsweise werden bei Video-Aufnahmen für Augmented Reality Informationen gesammelt sowie Daten gespeichert und weiterverarbeitet. Die Rechtssicherheit muss daher von Unternehmen gewährleistet werden. In Deutschland regelt die DSGVO zudem, dass nur diejenigen Daten erhoben werden, die für den jeweiligen Zweck unbedingt notwendig sind. Auch im Nachgang müssen Unternehmen dafür sorgen, dass alle Daten vor Verlust, unberechtigtem Zugriff oder Diebstahl geschützt sind.

Wenn OT auf IT trifft

Eine weitere Hürde ergibt sich aus den bestehenden Schnittstellen zwischen IT und OT, der Operational Technology oder Betriebstechnik, denn seit 2011 ist viel passiert. Unternehmen, die bereits ins IIoT eingestiegen sind, mussten Schritt halten und seither auf Entwicklungen wie die Malware Mirai (2016), die DSGVO (2018) und das IT-Sicherheitsgesetz 2.0 (2021) reagieren. So entstand ein Flickenteppich aus gewachsenen Strukturen und unterschiedlichen Lösungen, der teils Risiken für die Sicherheit der IT und der Produktionsumgebungen mit sich bringt. Diese Risiken sind nicht nur theoretischer Natur. 68 Prozent der für die Studie befragten Unternehmen gaben an, dass in ihrem Unternehmen Schwachstellen in Legacy-Geräten bereits gezielt ausgenutzt wurden.

Datensicherheit als Grundvoraussetzung

Eine dieser Schwachstellen ist die Datenübertragung. Darauf verweist auch die International Data Corporation (IDC) in der Studie ‘Cybersecurity in Deutschland 2021 – Aktuelle Security-Landschaften im Spannungsfeld von komplexen Bedrohungen, Agilität und Business Continuity’. Unternehmensdaten werden häufig ungeschützt durch das Internet übertragen. Die größten Herausforderungen für Industrieunternehmen durch Entwicklungen im Kontext IIoT sind:

  • Innovationsdruck durch steigende Bedeutung datengetriebener Geschäftsmodelle und so bedingte Konkurrenz
  • Rechtliche Anforderungen an den Datenschutz
  • Neue Gefährdungslage der Datensicherheit
  • Vernetzung und Auflösung von Systemgrenzen

Die Ausgangslage ist komplex, aber nicht unbeherrschbar. Unternehmen können ihre IIoT-Systeme so schützen, dass sie vor aktuellen und künftigen Gefahren sicher sind – und damit die Voraussetzung schaffen, ihre Anlagen effizienter zu betreiben oder sogar datengetriebene Geschäftsmodelle zu schaffen.

Schritt für Schritt

Eine allgemeingültige Anleitung für die eigene IT-Sicherheit gibt es nicht. Allerdings kann in drei Schritten schon viel zur Sicherheit beigetragen werden. Erster Schritt: bestehende Systeme vollständig erfassen – das betrifft auch Legacy-Geräte, von denen viele zuvor außen vor gelassen wurden. Auf Basis der Kenntnis des vorhandenen Systems können neue Anforderungen umgesetzt werden. Und da kommt der zweite Schritt: Maßnahmen definieren und umsetzen, um operative Systeme sicher zu vernetzen. In der Theorie klingt das gut, in der Praxis gestaltet sich das durchaus schwieriger. Denn dafür müssen Unternehmen häufig alte Geräte mit neuer Technologie verknüpfen. Dabei können Maschinen, Anlagen und Systeme auch nachträglich für die anwendungs- bzw. maschinennahe Datenverarbeitung gesichert werden, auch Retrofitting genannt. Dafür gibt es Edge-Gateways auf dem Markt, die Maschinen und Anlagen vor Fremdzugriffen schützen und sie befähigen, abgesichert miteinander zu kommunizieren. Der dritte Schritt ist: Unternehmen müssen sämtliche Leitungen erfassen und schützen, auf denen Daten übertragen, geteilt und verarbeitet werden – dafür müssen unsichere Übertragungswege beispielsweise über das Internet durch sichere Verbindungen in private oder hybride Clouds ersetzt werden.





  • Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise

    Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen…


  • Warum ein MES-Projekt Change Management braucht

    Verspätete Wareneingänge, Mitarbeiterausfälle, Störungen und Planänderungen können massiv auf die Produktion, Montage und Liefertermine einwirken. Automatische Planung löst nicht alle Probleme, reduziert…


  • Mit Strategie gegen Silos

    Hersteller investieren viel Zeit und Geld, um die Wertschöpfungskette kontinuierlich zu verbessern. Dabei entstehen oft Silo-Systeme, die isoliert voneinander arbeiten und wenig…


  • Datenpunkte in der Batteriezellfertigung setzen

    In der Batteriezellfertigung erzeugen heterogene Quellen enorme Datenmengen. Um die Produktion mit Digitaltechnik aufzurüsten, müssen die verschiedenen Datenquellen an die IT-Systeme in…


  • MES und Lean-Management im Zusammenspiel

    Fertigungsunternehmen suchen stets nach Möglichkeiten, ihre Workflows zu optimieren, Verschwendung zu reduzieren und Ressourcen optimal einzusetzen. Der Lean-Ansatz ist hier ein bewährtes…